Gibt es eine Pflicht einen Datenschutzbeauftragten für eine Arztpraxis zu benennen?
Der politische Streit, ob schon ab 10 Personen, die am Computer Daten verarbeiten oder erst ab 20 Personen ein Datenschutzbeauftragter bzw eine Datenschutzbeauftragte benannt werden muss, beschäftigt gerade am Beispiel der Arztpraxen die Datenschutzaufsichtsbehörden. Dabei ist die als bürokratische Entlastung gepriesene Anhebung der Personengrenze von 10 auf 20 Personen ab der ein Datenschutzbeauftragter benannt werden muss, eine Scheindiskussion, da auch bei nur einer datenverarbeitenden Person in einer Arztpraxis das Arztgeheimnis beachtet und die EU-Datenschutzgrundverordnung, die DSGVO, in vollem Umfang umgesetzt werden muss. Arztpraxen sind dabei nur das prominenteste Beispiel von „Gesundheitsberufen“ i.S.d. § 203 StGB:
Nr. 1: Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
Nr. 2 Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung,
Nr. 4: Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist,
Nr. 5: Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes.
Datenschutz ist in Zeiten der Digitalisierung im Gesundheitsbereich ein großes Thema. Insbesondere in der Arztpraxis, handelt es sich bei den dort schwerpunktmäßig verarbeiteten Patientendaten regelmäßig um besonders sensible personenbezogene Daten, nämlich Gesundheitsdaten, die nach Art. 9 Abs. 1 DSGVO einem besonderen Schutz unterliegen.
Rechtliche Grundlage für die Benennung eines Datenschutzbeauftragten
Benennung eines Datenschutzbeauftragten ab 20 Personen
Daher stellt sich die Frage, wie ein Schutz dieser sensiblen Daten gewährleistet werden kann. Das Gesetz sieht zunächst einmal vor, dass bei nichtöffentlichen Stellen jedenfalls ab 20 Personen, die sich ständig mit der automatisierten Verarbeitung (= am Computer) personenbezogener Daten beschäftigen, ein Datenschutzbeauftragter zu benennen ist, § 38 Abs. 1 S. 1 BDSG. Diese Zahl an Beschäftigten wird jedoch in den wenigsten Arztpraxen erreicht.
Die Landesdatenschutzaufsicht (LDA) Bremen geht allerdings in ihrem aktuellen Tätigkeitsbericht (Ziff. 4.2) unter Verweis auf einen Beschluss der Datenschutzkonferenz (DSK) vom 26.04.2018 davon aus, dass in Arztpraxen ab 10 datenverarbeitende Personen ein Datenschutzbeauftragter zu benennen ist, in bestimmten Konstellationen auch bei weniger Personen (s.u.). Wie man zu dieser Auffassung gelangt und ob diese bindend ist, soll nachfolgend erläutert werden.
Benennung eines Datenschutzbeauftragten ab 10 Personen
Aus Art. 37 Abs. 1 c) DSGVO ergibt sich zunächst, dass ein Datenschutzbeauftragter dann zu benennen ist, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Ar. 9 DSGVO liegt.
Weiterhin steht in § 38 Abs. 1 S. 2 BDSG: Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen […], haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Eine Datenschutzfolgenabschätzung (DSFA / engl.: PIA) wäre nach Art. 35 Abs. 3 b) DSGVO dann durchzuführen, wenn eine umfangreiche Verarbeitung personenbezogener Daten nach Art. 9 Abs. 1 DSGVO stattfindet.
Es kommt also darauf an, ob es sich bei der Verarbeitung der Gesundheitsdaten in einer Arztpraxis um eine Kerntätigkeit handelt und ob eine umfangreiche Verarbeitung stattfindet.
Bezüglich der Kerntätigkeit schreibt die Artikel 29 Arbeitsgruppe (Vorgänger des Europäischen Datenschutzausschusses, dessen Stellungnahmen – Working Papier (WP) 243 sinngemäß auch unter der DSGVO als Auslegungshilfe Anwendung finden) für die Wahrung der Rechte von Personen bei der Verarbeitung personenbezogener Daten:
2.1.2 „KERNTÄTIGKEIT“
Artikel 37 Absatz 1 Buchstabe b und Buchstabe c der DS-GVO bezieht sich auf die „Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters“. In Erwägungsgrund 97 ist dargelegt, dass sich die Kerntätigkeit eines Verantwortlichen auf „seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit“ bezieht. Als „Kerntätigkeit“ lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind.
Gleichwohl sollte der Begriff „Kerntätigkeit“ nicht dahingehend interpretiert werden, dass sich dieser nicht auch auf Tätigkeiten erstreckte, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellt. So besteht beispielsweise die Kerntätigkeit eines Krankenhauses darin, medizinische Versorgung zu leisten. Ohne dabei gesundheitsbezogenen Daten wie etwa Krankenakten von Patienten zu verarbeiten, wäre ein Krankenhaus nicht in der Lage, dies in sicherer und wirksamer Form zu tun. Daher ist die Verarbeitung solcher Daten als Kerntätigkeit eines jeden Krankenhauses anzusehen, weshalb selbige zur Benennung eines DSB verpflichtet sind.
Allerdings heißt es in Erwägungsgrund 91 zur DSGVO in Satz 4 zur umfangreichen Verarbeitung:
Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.
Nun gibt es also einen gewissen Spielraum. Sicher ist nur, dass im Krankenhaus von umfassender Verarbeitung der Daten ausgegangen werden muss, und die Datenverarbeitung bei einem einzelnen Arzt nicht als umfangreich gilt. Dazwischen kann die zuständige Aufsichtsbehörde entscheiden, wann sie die Verarbeitung von Patientendaten als „Kerntätigkeit“ und als „umfangreich“ ansieht. Aktuell tut dies die LDA Bremen bei Arztpraxen, wenn mehr als 10 Personen mit der Datenverarbeitung beschäftigt sind. Somit geht sie davon aus, dass (mindestens) ab dieser Beschäftigtenzahl ein Datenschutzbeauftragter benannt werden muss.
Siehe auch zur Benennung eines Datenschutzbeauftragten in Heilberufspraxen
Benennung eines Datenschutzbeauftragten bei weniger als 10 Personen
Laut Ziff. 3 der Entschließung der Datenschutzkonferenz DSK der deutschen Aufsichtsbehörden kann die Benennung eines oder einer Datenschutzbeauftragten (DSB) auch bei weniger als 10 Personen verpflichtend sein. Etwa wenn sich z.B. mehrere Ärzte in einer Praxisgemeinschaft bzw. Gemeinschaftspraxis zusammengeschlossen haben und ihrerseits Angehörige eines Gesundheitsberufes beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist. Dies ist z.B. dann anzunehmen, wenn neue Technologien, die ein hohes Risiko für die Datensicherheit mit sich bringen, eingesetzt werden. Die Aufsichtsbehörde in Rheinland-Pfalz nennt als weitere Kriterien: “ welche Menge personenbezogener Daten verarbeitet wird (Volumen), ob die Verarbeitung auf regionaler, nationaler oder supranationaler Ebene erfolgt (geografischer Aspekt), wie viele Personen von der Verarbeitung betroffen sind und von welcher Dauer die Verarbeitung ist (zeitlicher Aspekt).“
Es sind also auch durchaus Fälle denkbar, in denen es für die Benennung eines/einer DSB nicht auf eine bestimmte Zahl an Personen, die sich mit der Verarbeitung der Daten beschäftigen, ankommt, sondern vielmehr die Art und Weise der Datenverarbeitung zur Grundlage für eine Benennungspflicht wird.
Stellungnahme / Handlungsempfehlung zur Benennung eines Datenschutzbeauftragten
Dies ist letztlich aktuell die Meinung der deutschen Aufsichtsbehörden, die in der Datenschutzkonferenz, DSK, einen entsprechenden Beschluss gefasst haben. Diese Auffassung ist nicht rechtsverbindlich und somit vor Gericht überprüfbar, sollte die Aufsichtsbehörde einen belastenden Verwaltungsakt erlassen, z.B. eine Mahnung nach Art. 58 DSGVO eine(n) DSB zu benennen. Ob man sich den zeit- und kostenintensiven Strapazen einer gerichtlichen Überprüfung aussetzen möchte oder lieber der Auffassung der Aufsichtsbehörde folge leistet, ist natürlich eine andere Frage.
Weiterhin ist zur Umsetzung aller datenschutzrechtlichen Vorgaben, aber vorallem auch zur Reduzierung von Risiken aus einer unrechtmäßigen Datenverarbeitung für die Patienten und für die Arztpraxis und ihren Inhaber / ihre Inhaberin bzw. Geschäftsführung die Benennung eines oder einer Datenschutzbeauftragten hilfreich. Auch bei geringerer Beschäftigtenanzahl ist es keineswegs untersagt, dass ein Datenschutzbeauftragter freiwillig benannt wird. Daher und weil die Einhaltung durch die Landesdatenschutzaufsicht überprüft wird, spätestens wenn sich dort ein Patient beschwert, und eine Nichterfüllung der datenschutzrechtlichen Vorgaben durchaus Konsequenzen haben kann, ist die Benennung eines oder einer internen oder externen Datenschutzbeauftragten in einer Arztpraxis sehr zu empfehlen. Im Zweifel haftet der Geschäftsführer eine GmbH nach Auffassung des OLG Dresden persönlich als datenschutzrechtlich Verantwortlicher für etwaige Datenschutzverstöße des Unternehmens.
Zum Thema Datenschutz in der Arztpraxis siehe auch die weiteren Beiträge auf dieser Blog-Seite.
Autor: David Seiler, Rechtsanwalt, Lehrbeauftragter Datenschutzrecht und IT-Security Law (b-tu)
Gero Blochwitz, Stud. Jur.
22.03.2022
